Après les arnaques en ligne (phishing), les créateurs de codes
malveillants s'essaient au racket. Deux menaces sont ainsi apparues
à quelques semaines d'intervalles prenant en otage les postes
de travail contaminés. Dans le cas Smitfraud.c, nouveau logiciel
espion (spyware) détecté mercredi 8 juin par le laboratoire
antivirus de l'éditeur Panda Software, la charge utile sert
ainsi à vendre un produit correctif.
Selon l'éditeur espagnol, Smitfraud.c s'encapsule dans un
autre logiciel espion, CWS.YEXE. Lorsque la machine télécharge
le fichier source, le logiciel espion modifie la clé de registre
Windows pour empêcher sa désinstallation et sa détection,
puis remplace le fichier Wininet.dll par le fichier Oleadm32.dll.
Par l'intermédiaire de cette dll, le logiciel espion enregistre
l'ensemble des sites visités par la machine contaminée et
envoie ses informations à un site distant.
Plus
gênant, si le poste dispose d'Internet Explorer, Smitfraud
télécharge et installe une application nommée PSGuard. Cette
dernière affiche l'écran d'erreur bleu standard de Windows
et informe par ce biais l'utilisateur qu'il a été infecté
par Smitfraud.c. Il lui propose alors de s'en débarrasser
via l'application PSGuard. Cette dernière détecte la présence
du malware mais demande à l'internaute de s'enregistrer et
de payer pour l'éradiquer. Ce logiciel espion affecte tout
type de poste sous environnement Windows (95, 98, Me, 2000,
XP, 2003).
Sa vitesse de propagation est toutefois limitée, Smitfraud
ne se propageant pas par e-mail. Trois semaines plus tôt,
Symantec et Websense recensaient le premier virus rançonnant
les particuliers. PGP coder scanne le poste à la recherche
d'une dizaine de format de fichiers différents. Une fois qu'il
a recensé les données correspondantes, il crypte ces fichiers
puis exige le paiement de 200 dollars pour délivrer la clef
nécessaire à la lecture des fichiers. Ce cheval de troie s'appuie
sur une faille d'Internet Explorer corrigée en juillet 2004
pour se propager.
PGP
Coder crypte les fichiers et en offre la clé contre
une rançon |
Toutefois, là encore, les risques demeurent limités. Le code
utilisé pour le cryptage s'appuie sur l'outil PGP bien connu
du marché, et ne peut s'installer que sur un poste non mis
à jour et sans antivirus. Si l'extorsion de fond est un risque
bien connu dans le monde de l'entreprise, les cas ciblant
les particuliers restent rares. Mais selon les experts en
sécurité, les 12 derniers mois montrent très clairement
une criminalisation de l'Internet.
Les créateurs de codes malveillants recherchent désormais
à faire de l'argent en utilisant tous les moyens à leur disposition
: récupération de codes confidentiels, chantage au déni de
service, faux sites bancaires, spams ou location de machines
infectées. Cependant, ces méthodes de chantage ont toutes
pour inconvénient de laisser des traces exploitables par les
instances de polices.
Ainsi, pour le cas de PGP Coder, le
National Infrastructure Protection Center (NIPC), agence américaine
spécialisée dans la lutte contre la cybercriminalité, a pris
en charge le dossier et pourrait remonter la piste jusqu'à
l'auteur présumé du code.
|